메모리 덤프를 보고 있어요
B79C6440 64 6F 6E 65 00 00 6C 5F 75 62 6C 65 20 73 68 6F done..l_uble sho
B79C6450 77 5F 00 00 5F 6F 6E 5F 72 75 70 00 00 61 63 6B w_.._on_rup..ack
B79C6460 69 72 71 5F 76 65 63 74 6F 72 73 10 10 05 30 10 irq_vectors...0.
B79C6470 06 50 10 07 70 10 08 90 10 09 B0 10 0A 98 1B FC .P..p...........
B79C6480 16 9C 1B A0 A4 A8 18 6E 6D 69 5F 63 68 65 63 6B .......nmi_check
Hexedit를 사용하면 Enter 키를 누르고 주소를 입력하여 새 주소로 이동할 수 있습니다.
X 바이트의 오프셋을 추가하여 주소에서 이동 하고 싶다고 가정하면 B79C6440, 입력할 수 있도록 가고 싶은 새 주소를 어떻게 계산합니까?
답변1
bc글쎄, 예를 들어 또는 쉘 (간단히 )을 사용하는 것 외에는 할 수 없습니다 echo "$((0xB79C6440 + 1234)).
솔직히 말해서 hexedit오랜 전통을 지닌 훌륭한 도구이지만 정말로 복잡한 파일을 이동하려는 경우에는 16진수 편집기를 선택하기가 어렵습니다.
- 실행 가능한 프로그램 코드/라이브러리를 볼 때
radare2매우 강력한 도구 이며 점프를 직접 추적하고, 바이너리 파일을 분석하여 함수를 추출하고, 파일 영역의 엔트로피를 분석하여 특정 콘텐츠를 찾는 등의 작업을 수행할 수 있습니다. - 데이터 저장 파일 형식을 분석하고 싶다면 Ange Albertini의감자귀하의 요구에 더 잘 맞을 수 있습니다.깔끔한 데모가 있습니다이 문제에 대해.
- 어쨌든 emacs 사용에 익숙하다면 어떤 주요 모드가 있는지 추측해 보세요.
- vim에는 매우 인기 있는 16진수 편집기 모드가 있습니다. 실제로 파일 내용을 16진수로 덤프하는 데(대화식으로 점프하는 대신) 가장 일반적으로 사용되는 도구 중 하나는 vim에서 호출됩니다
xxd. vim 을 입력하면 16진수 편집 모드로 들어갈 수 있습니다:%xxd.
덤프를 보면 이는 프로세스 이미지로 로드되거나 베어 메탈 펌웨어로 직접 로드되는 것처럼 보입니다. Radare2가 r2실제로 사용할 도구입니다.